WordPressをバージョン6.0.3以上に更新を
10月17日にWordPressの6.0.3が公開されましたが、更新はお済みでしょうか?
もし更新がお済みでなければ、今すぐ最新版にアップデートしてください。
WordPressの6.0.2以前のバージョンには、セキュリティの問題が多数みつかっています。
古いバージョンで見付かったセキュリティ問題の数々
数日前に、WordPressのセキュリティについてのニュースが流れてきました。
この記事の冒頭に
ここを見ると、メール投稿機能のほかにも、合計で15個もセキュリティの問題が指摘されていました。
- メール投稿機能でXSSが保存される
- wp_nonce_ays (リンクの有効期限切れの通知)で外部サイトにリダイレクト
- 「メールで投稿機能」で送信者メールアドレスが公開される
- メディア ライブラリ – SQLi 経由で XSS を反映
- wp-trackback.php の CSRF
- カスタマイザー経由で保存された XSS
- コメント編集機能から WordPress本体に XSS を保存
- REST term/tag endpoint を介したデータ公開
- マルチパート電子メールの内容が流出
- 「WP_Date_Query」の不適切なサニタイズによる SQL インジェクション
- RSS ウィジェット: 保存された XSS の問題
- XSS を検索ブロックに保存
- Feature Image Block: XSS の問題
- RSS ブロック: 保存された XSS の問題
- ウィジェット ブロックの XSS を修正
※XSS と SQLインジェクション:
どちらも、ホームページを開いた人に不正なプログラムを実行させて、マルウェア感染や情報漏洩などを起こします。
※CSRF:
ネット通販やネットバンキングなどを利用する人に、不正送金や不正な買い物などをさせます。
挙がっている内容をみると、RSS(ブログの最新情報)やコメント編集機能、検索機能に投稿のアイキャッチ画像など、あちこちに問題が見つかっています。
放っておくのは危険ですので、今すぐ最新版のWordPressにアップデートして、セキュリティの脆弱性を突かれないように備えておきましょう。
最新版のWordPressにアップデートする手順
- WordPress管理画面にアクセスします。
- 左メニューの【ツール】→【エクスポート】をクリックします。
- 切り替わった画面をスクロールして【エクスポートファイルをダウンロード】ボタンをクリックします。
- 「名前を付けて保存」画面が出てくるので、ドキュメントフォルダなどを指定して、エクスポートファイルをダウンロードします。(もしもの時に備えて、記事などのバックアップを取っておきます)
- 左メニューの【更新】をクリックします。
- 【WordPressの新しいバージョンがあります】と書いてあって、その下に【バージョン●●-jaに更新】というボタンがあれば、クリックして更新してください。
アップデートの手順自体は、上に書いたとおりでごく簡単な作業です。
古いバージョンのままで置いておくというのは、窓を開けっぱなしにして外出するようなもの。
悪党に気付かれたら侵入されてしまいます。
クリック数回で済む作業ですので、ぜひともアップデートしてください。
WordPressのセキュリティ対策の基本は「WordPress本体やプラグインを常に最新版に保つこと」です。
しかし、WordPress本体やプラグインのアップデートを長年していない場合には、
- 古いプラグインが最新のWordPressで動かない
- 古いプラグインのせいでWordPress自体が動かない
などのトラブルも起こり得ます。当会でも何度か、この種のトラブル対応も行なっております。
もし、ご自身でアップデートを行なうのが不安だという場合は、WordPressアップデートの代行を承っております。
WordPress本体やプラグインを最新に保つ以外にも、セキュリティ対策のプラグインを導入・設定をしておくとさらに安心です。
こちらの導入・設定代行も行ないます。
マルウェアに感染してしまったという方のために、マルウェア駆除も承ります。
手動でのアップデートや自動アップデートで不具合が起こった方も、できる限り対処いたします。
ただし、どうなっているかを見せていただいてからの判断となります。
まずは下記フォーム・LINE公式アカウントからお気軽にお問い合わせください。